Was ist Tailscale?
Tailscale ist ein Managed VPN-Dienst der auf WireGuard basiert und komplexe Netzwerkkonfiguration eliminiert. Statt manueller WireGuard-Konfiguration mit Schlüsselpaaren, Endpunkten und Routing übernimmt Tailscale alles automatisch.
Tailscale vs. WireGuard selbst gehostet
| Merkmal | WireGuard (selbst) | Tailscale |
|---|---|---|
| Einrichtungszeit | 30–60 Min | 5 Min |
| Server benötigt | Ja | Nein |
| NAT-Traversal | Manuell | Automatisch |
| Key-Management | Manuell | Automatisch |
| Kosten | Kostenlos | Free bis 100 Geräte |
| Kontrolle | Vollständig | Eingeschränkt |
Tailscale Preise (2025)
- Free: Bis 100 Geräte, unbegrenzte Benutzer, 1 Subnet-Router
- Starter (5 €/User/Monat): Mehr Admin-Features, mehr Subnet-Router
- Business (10 €/User/Monat): SSO, Compliance, erweiterte Policies
Tailscale installieren
Schritt 1: Account erstellen
tailscale.com → Sign up – Login mit Google, Microsoft, GitHub oder SSO
Schritt 2: Client installieren
Windows:
tailscale.com/download → Windows-Installer ausführen
Ubuntu/Debian:curl -fsSL https://tailscale.com/install.sh | sh
macOS:
Mac App Store: "Tailscale"
iOS/Android:
App Store / Play Store: "Tailscale"
Schritt 3: Gerät verbinden
tailscale up
Browser öffnet sich → Mit Tailscale-Account einloggen → Gerät wird autorisiert.
Tailscale-IP anzeigen:tailscale ip – Zeigt Ihre Tailscale-IP (z. B. 100.x.x.x)
Alle Geräte im Netzwerk:tailscale status
Alle Geräte im Tailnet können sich nun gegenseitig erreichen – ohne weitere Konfiguration!
Geräte miteinander verbinden
Verbindung testen
Auf Gerät A:ping 100.x.x.x – IP von Gerät B (Tailscale-IP)
Oder per Hostname:ping geraet-b – Tailscale löst Hostnamen automatisch auf
Dienste im Tailnet erreichbar machen
Alle Ports auf einem Tailscale-Gerät sind für andere Tailscale-Geräte erreichbar – wie im lokalen Netz.
Beispiel: Proxmox auf 100.x.y.z ist erreichbar unter:https://100.x.y.z:8006
Subnet-Router (LAN über Tailscale zugänglich)
Ein Subnet-Router macht ein gesamtes Heimnetz oder Büronetz über Tailscale erreichbar – ohne Tailscale auf jedem Gerät.
Subnet-Router aktivieren
Auf dem Linux-Server (z. B. Homelab-Server, Proxmox-Host):
echo "net.ipv4.ip_forward = 1" | tee -a /etc/sysctl.conf sysctl -p tailscale up --advertise-routes=192.168.1.0/24
Im Tailscale Admin Panel bestätigen
admin.tailscale.com → Machines → Server → … → Edit route settings:
Route 192.168.1.0/24 autorisieren.
Jetzt können alle Tailscale-Geräte auf 192.168.1.x zugreifen!
Exit-Node (Traffic durch bestimmtes Gerät routen)
Ein Exit-Node leitet den gesamten Internet-Traffic durch ein anderes Gerät.
Exit-Node einrichten (Server)
tailscale up --advertise-exit-node
Im Admin-Panel bestätigen.
Exit-Node nutzen (Client)
tailscale up --exit-node=100.x.y.z – Traffic über diesen Node routen
Oder in der App: Tailscale → "Use exit node"
ACLs (Access Control Lists)
Standardmäßig können alle Geräte miteinander kommunizieren. Für KMU empfehlen wir ACLs für granulare Zugangskontrolle.
admin.tailscale.com → Access Controls:
Beispiel-Policy (JSON):{ "acls": [ { "action": "accept", "src": ["tag:developer"], "dst": ["tag:server:22", "tag:server:8006"] }, { "action": "accept", "src": ["tag:office"], "dst": ["*:*"] } ], "tagOwners": { "tag:developer": ["autogroup:admin"], "tag:server": ["autogroup:admin"], "tag:office": ["autogroup:admin"] } }
Geräte-Tags zuweisen: admin.tailscale.com → Machines → Gerät → Edit tags
Tailscale SSH (Magic SSH)
Tailscale bietet direktes SSH ohne Passwort oder eigene Schlüssel:
tailscale up --ssh
Dann:ssh [email protected] oder ssh benutzer@gerät-hostname
Authentifizierung erfolgt über den Tailscale-Account (Google/Microsoft) statt SSH-Keys.
Tailscale mit Proxmox
Tailscale auf einem Proxmox-Host verbindet alle Proxmox-VMs und -Container über Tailscale erreichbar:
Als LXC-Container in Proxmox:
lxc.cgroup2.devices.allow = c 10:200 rwm lxc.mount.entry = /dev/net/tun dev/net/tun none bind,create=file
Dann im Container: Tailscale installieren und tailscale up ausführen.
Häufige Probleme
Verbindung nicht möglich (kein Ping):
Tailscale nutzt UDP für WireGuard. Bei sehr restriktiven Firewalls: Tailscale fällt automatisch auf DERP-Relay zurück (TCP via Cloudflare-Infrastruktur).
Subnet-Route wird nicht angenommen:
Route im Admin-Panel autorisieren und ip_forwarding auf dem Router aktivieren.
FAQ
Speichert Tailscale meinen Traffic?
Nein. Tailscale koordiniert nur den Verbindungsaufbau (Schlüsseltausch). Der Traffic fließt direkt zwischen den Geräten über WireGuard – Tailscale-Server sehen keine Inhalte.
Kann ich Tailscale mit eigener Infrastruktur betreiben?
Ja: Headscale ist eine Open-Source-Implementierung des Tailscale-Kontrollservers. Vollständig self-hosted, kompatibel mit allen Tailscale-Clients.
Ist Tailscale für Unternehmen geeignet?
Ja. Für bis zu ~100 Geräte sogar kostenlos. SSO-Integration (SAML/OIDC) mit Entra ID oder Okta in den kostenpflichtigen Plänen.
Fazit
Tailscale macht sichere Mesh-VPNs für jedermann zugänglich. Für Homelab, kleine Teams und Remote-Zugang ist es die einfachste Lösung mit WireGuard-Performance.
Als Netzwerkspezialisten in Heidelberg implementieren wir VPN-Lösungen für KMU in Mannheim, Ludwigshafen und der Rhein-Neckar-Region. Jetzt VPN-Beratung anfragen.